EuroComply
Sign up
Back to blog
RODO 10 min read

Ocena skutków dla ochrony danych krok po kroku: kiedy jest wymagana i jak ją sporządzić

What you need to know: Ocena skutków dla ochrony danych krok po kroku: kiedy jest wymagana i jak ją sporządzić

Ocena skutków dla ochrony danych (DPIA) jest obowiązkowa na mocy art. 35 RODO przy przetwarzaniu wysokiego ryzyka. Ten przewodnik krok po kroku wyjaśnia, kiedy jest wymagana, co musi zawierać i jak ją sprawnie przeprowadzić.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Ocena skutków dla ochrony danych (DPIA) to ustrukturyzowany proces identyfikacji i ograniczania ryzyk w zakresie prywatności, przeprowadzany przed rozpoczęciem danej czynności przetwarzania. Na mocy art. 35 RODO jest ona obowiązkowa — nie fakultatywna — w odniesieniu do określonych kategorii przetwarzania wysokiego ryzyka. Błędna ocena prowadzi albo do realizowania przetwarzania wysokiego ryzyka bez właściwej analizy, albo do inwestowania czasu w oceny, które nie były konieczne.

Niniejszy przewodnik wyjaśnia, kiedy DPIA jest wymagana, co musi zawierać i jak ją sprawnie przeprowadzić.

Czym jest DPIA

Artykuł 35 ust. 7 RODO definiuje, co musi zawierać DPIA. W swej istocie obejmuje cztery elementy:

  1. Systematyczny opis przetwarzania: co jest robione, dlaczego i w jaki sposób.
  2. Ocenę niezbędności i proporcjonalności: czy przetwarzanie jest niezbędne do realizacji celu? Czy ingerencja w prywatność jest proporcjonalna do uzyskiwanej korzyści?
  3. Ocenę ryzyk dla osób, których dane dotyczą: co może pójść nie tak dla osób, których dane są przetwarzane, i jak prawdopodobne oraz poważne są te konsekwencje?
  4. Środki planowane w celu zarządzania ryzykiem: kontrole techniczne, procedury organizacyjne, zabezpieczenia.

DPIA nie jest ćwiczeniem polegającym na odhaczaniu kolejnych pozycji na liście. Jej celem jest ujawnienie ryzyk, które mogłyby zostać przeoczone, oraz wdrożenie środków zaradczych przed rozpoczęciem przetwarzania — a nie dopiero po naruszeniu ochrony danych.

Kiedy DPIA jest obowiązkowa

Artykuł 35 ust. 1 RODO wymaga przeprowadzenia DPIA wtedy, gdy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych". Artykuł 35 ust. 3 wskazuje trzy kategorie, które zawsze wymagają DPIA:

1. Systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, oparta na zautomatyzowanym przetwarzaniu — w tym profilowaniu — i stanowiąca podstawę decyzji wywołujących skutki prawne wobec osób fizycznych lub w podobny sposób znacząco na nie wpływających. Obejmuje to scoring kredytowy, modele ryzyka ubezpieczeniowego, zautomatyzowane preselekcje kandydatów do pracy oraz systemy wykrywania oszustw powodujące konsekwencje o istotnym znaczeniu.

2. Przetwarzanie na dużą skalę szczególnych kategorii danych (art. 9 RODO) lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych (art. 10 RODO). Szczególne kategorie obejmują dane dotyczące zdrowia, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane genetyczne, pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane dotyczące seksualności.

3. Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie. Monitoring wizyjny obejmujący duże przestrzenie publiczne stanowi najbardziej oczywisty przykład, jednak kategoria ta obejmuje również śledzenie ruchów lub zachowań w przestrzeni publicznej za pomocą danych mobilnych lub czujników IoT.

Poza tymi trzema kategoriami krajowe organy ochrony danych (w Polsce: Urząd Ochrony Danych Osobowych, UODO) publikują wykazy rodzajów przetwarzania wymagających DPIA w ich jurysdykcji. Należy sprawdzić listę właściwego krajowego organu nadzorczego. Jeśli lista organu nadzorczego i art. 35 ust. 3 RODO pokrywają się, każde z tych źródeł jest wystarczające do powstania obowiązku.

Dwa lub więcej spośród następujących kryteriów wskazuje również na wysokie ryzyko (zgodnie z wytycznymi Grupy Roboczej Art. 29): ocenianie lub punktowanie osób; zautomatyzowane podejmowanie decyzji z uwzględnieniem skutków prawnych lub podobnie istotnych; systematyczny monitoring; dane wrażliwe lub dane o szczególnym charakterze; przetwarzanie na dużą skalę; dopasowywanie lub łączenie zbiorów danych; dane dotyczące osób wymagających szczególnej ochrony; innowacyjne zastosowanie technologii; przekazywanie danych poza UE; przetwarzanie uniemożliwiające osobom, których dane dotyczą, wykonywanie ich praw.

Kiedy DPIA nie jest wymagana

DPIA nie jest wymagana w sytuacji, gdy przetwarzanie z dużym prawdopodobieństwem nie spowoduje wysokiego ryzyka. Wskaźniki niższego ryzyka obejmują: przetwarzanie na małą skalę danych niewrażliwych; przetwarzanie bez automatycznego podejmowania decyzji; przetwarzanie, którego osoby, których dane dotyczą, mogłyby się rozsądnie spodziewać; oraz przetwarzanie objęte istniejącą, aktualną DPIA dotyczącą tego samego rodzaju czynności.

Jeśli przeprowadzono wcześniej DPIA dla tego samego rodzaju przetwarzania i profil ryzyka nie uległ zmianie, można odwołać się do istniejącej DPIA zamiast zaczynać od nowa.

7 obowiązkowych elementów ważnej DPIA

Artykuł 35 ust. 7 RODO wymienia wymagane elementy:

| # | Element | Znaczenie | |---|---------|-----------| | 1 | Systematyczny opis | Jakie dane, jakie przetwarzanie, jaki cel, jakie systemy | | 2 | Ocena niezbędności i proporcjonalności | Dlaczego przetwarzanie jest niezbędne; rozważone mniej ingerencyjne alternatywy | | 3 | Ocena ryzyk dla osób, których dane dotyczą | Prawdopodobieństwo × powaga dla każdego zidentyfikowanego ryzyka | | 4 | Środki zarządzania ryzykiem | Techniczne i organizacyjne środki zaradcze | | 5 | Konsultacja z IOD | Jeśli wyznaczono Inspektora Ochrony Danych, należy go skonsultować | | 6 | Opinie osób, których dane dotyczą | Jak uwzględniono lub pozyskano opinie osób, których dane dotyczą (lub dlaczego nie) | | 7 | Podstawa prawna i zgodność z zasadami | Potwierdzenie zgodności przetwarzania z zasadami RODO (art. 5) |

Przebieg krok po kroku

Krok 1: Opisać przetwarzanie Odpowiedz na pytania: Jakie dane osobowe są zbierane? Od kogo? Jakimi środkami? W jakim celu? Kto ma do nich dostęp? Gdzie są przechowywane? Jak długo są przechowywane? Którzy podmioty przetwarzające są zaangażowane? Sekcja ta powinna być na tyle szczegółowa, aby osoba nieznająca projektu mogła zrozumieć, co jest budowane.

Krok 2: Ocenić niezbędność i proporcjonalność Odpowiedz na pytania: Czy przetwarzanie jest niezbędne do realizacji wskazanego celu? Czy cel mógłby zostać osiągnięty przy mniejszej ilości danych lub mniej ingerencyjnym przetwarzaniu? Jaka jest podstawa prawna? Jak długo dane będą przechowywane i czy jest to proporcjonalne? Jakie prawa przysługują osobom, których dane dotyczą, i w jaki sposób umożliwisz im ich wykonywanie?

Krok 3: Zidentyfikować ryzyka dla osób, których dane dotyczą Dla każdego zidentyfikowanego ryzyka oceń: Na czym polega zagrożenie? Jakie jest prawdopodobieństwo jego wystąpienia (niskie/średnie/wysokie)? Jak poważna jest szkoda, jeśli ryzyko się zmaterializuje? Typowe ryzyka obejmują: nieuprawniony dostęp, naruszenie ochrony danych, rozszerzenie celu (dane używane do nieprzewidzianych celów), nieścisłość i jej konsekwencje, wykluczenie lub dyskryminację wynikające z automatycznych decyzji, utratę kontroli przez osoby, których dane dotyczą.

Krok 4: Określić środki zaradcze Dla każdego ryzyka określ środek kontrolny, który je zaadresuje. Przypisz każdy środek do konkretnego ryzyka. Po zastosowaniu środków ponownie oceń ryzyko rezydualne.

Krok 5: Skonsultować się z IOD Jeśli w organizacji wyznaczono Inspektora Ochrony Danych (IOD), należy go skonsultować. Udokumentuj jego wkład oraz to, czy został uwzględniony.

Krok 6: Udokumentować opinie osób, których dane dotyczą Wyjaśnij, w jaki sposób uwzględniono interesy i rozsądne oczekiwania osób, których dane dotyczą. Nie zawsze wymaga to przeprowadzenia ankiety — dla wielu czynności przetwarzania można udokumentować ocenę tego, czego osoby, których dane dotyczą, rozsądnie by oczekiwały, i wyjaśnić, dlaczego przetwarzanie mieści się lub nie w tych oczekiwaniach.

Krok 7: Zatwierdzić i zarejestrować DPIA powinna zostać zatwierdzona przez właściwego właściciela procesu biznesowego. Zarejestruj datę ukończenia oraz wszelkie warunki związane z zatwierdzeniem.

Kiedy skonsultować się z organem nadzorczym

Artykuł 36 RODO wymaga uprzedniej konsultacji z krajowym organem nadzorczym, gdy ryzyko rezydualne pozostaje wysokie po zastosowaniu środków zaradczych. Jest to wysoki próg — nie jest uruchamiany za każdym razem, gdy DPIA zostaje ukończona, lecz wyłącznie wtedy, gdy nie można ograniczyć ryzyka do akceptowalnego poziomu za pomocą własnych środków.

Jeśli wymagana jest uprzednia konsultacja, należy przedłożyć DPIA organowi nadzorczemu przed rozpoczęciem przetwarzania. Organ nadzorczy ma osiem tygodni na udzielenie odpowiedzi (z możliwością przedłużenia o kolejne sześć tygodni w przypadkach złożonych).

Jak długo DPIA zachowuje ważność

Nie istnieje stały termin ważności DPIA, jednak art. 35 ust. 11 RODO wymaga przeglądu „w przypadku zmiany ryzyka, jakie niosą ze sobą operacje przetwarzania". Dobrą praktyką jest przeglądanie DPIA dotyczących przetwarzania wysokiego ryzyka co najmniej raz w roku oraz uruchamianie przeglądu przy każdej istotnej zmianie w przetwarzaniu: nowych kategorii danych, nowych podmiotów przetwarzających, nowej logiki automatycznego podejmowania decyzji lub nowych jurysdykcji.

Łączenie DPIA z oceną wpływu na prawa podstawowe w ramach aktu o AI

W przypadku systemów AI wysokiego ryzyka objętych unijnym aktem o sztucznej inteligencji (akt o AI) podmioty wdrażające muszą przeprowadzić ocenę wpływu na prawa podstawowe (FRIA) na mocy art. 27. FRIA obejmuje obszary podobne do DPIA, jednak skupia się na prawach podstawowych wykraczających poza ochronę danych.

Jeśli przetwarzanie obejmuje system AI wysokiego ryzyka, należy przeprowadzić łączoną DPIA + FRIA. Jako podstawy należy użyć struktury wynikającej z art. 35 RODO, dodając sekcję dotyczącą wpływu na prawa podstawowe inne niż ochrona danych (prawo do rzetelnego procesu, zakaz dyskryminacji, wolność wypowiedzi). Jeden połączony dokument spełnia oba obowiązki i pozwala uniknąć powielania sekcji systematycznego opisu i oceny ryzyka.


Najczęściej zadawane pytania

Kiedy DPIA jest obowiązkowa na mocy art. 35 RODO?

DPIA jest obowiązkowa na mocy art. 35 ust. 1 RODO, gdy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych". Artykuł 35 ust. 3 identyfikuje trzy kategorie, które zawsze wymagają DPIA: systematyczną, kompleksową ocenę osób opartą na zautomatyzowanym przetwarzaniu wywołującym skutki prawne lub podobnie istotne (w tym profilowanie dla scoringu kredytowego, preselekcji kandydatów i oceny ryzyka ubezpieczeniowego); przetwarzanie na dużą skalę szczególnych kategorii danych na mocy art. 9 lub danych dotyczących wyroków skazujących na mocy art. 10; oraz systematyczny monitoring na dużą skalę miejsc dostępnych publicznie. Poza tymi kategoriami krajowe organy nadzorcze publikują wykazy dodatkowych rodzajów przetwarzania wymagających DPIA w ich jurysdykcji — administratorzy powinni sprawdzić właściwą listę krajową wraz z kategoriami z art. 35 ust. 3.

Co musi zawierać DPIA zgodna z RODO?

Artykuł 35 ust. 7 RODO definiuje obowiązkowe elementy: systematyczny opis przetwarzania (jakie dane, jaki cel, jakie systemy, jakie podmioty przetwarzające); ocenę niezbędności i proporcjonalności (czy przetwarzanie jest niezbędne i czy ingerencja w prywatność jest proporcjonalna do celu); ocenę ryzyk dla osób, których dane dotyczą (prawdopodobieństwo i powaga potencjalnych szkód); oraz środki planowane w celu zarządzania ryzykiem (techniczne i organizacyjne środki kontroli z ponowną oceną ryzyka rezydualnego po zastosowaniu środków zaradczych). Jeżeli wyznaczono Inspektora Ochrony Danych, jego konsultacja musi być udokumentowana. Należy również udokumentować ocenę tego, czy i w jaki sposób pozyskano lub uwzględniono opinie osób, których dane dotyczą, wraz z uzasadnieniem.

Czy po zakończeniu DPIA należy skonsultować się z organem nadzorczym?

Wyłącznie jeśli ryzyko rezydualne pozostaje wysokie po zastosowaniu wszystkich wykonalnych środków zaradczych. Artykuł 36 wymaga uprzedniej konsultacji z właściwym krajowym organem nadzorczym przed rozpoczęciem przetwarzania, gdy DPIA wskazuje, że ryzyko rezydualne jest wysokie i administrator nie może go dalej ograniczyć za pomocą własnych środków. Jest to wysoki próg — samo ukończenie DPIA nie uruchamia automatycznie obowiązku konsultacji z organem nadzorczym. Jeśli konsultacja jest wymagana, organ nadzorczy musi otrzymać pełną dokumentację DPIA i ma osiem tygodni na odpowiedź, z możliwością przedłużenia o kolejne sześć tygodni w przypadkach złożonych. W trakcie tego okresu konsultacji przetwarzanie nie może się rozpocząć.

Źródła


Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przed podjęciem decyzji dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.

Key takeaways: Ocena skutków dla ochrony danych krok po kroku: kiedy jest wymagana i jak ją sporządzić

This article covers: Czym jest DPIA, Kiedy DPIA jest obowiązkowa, Kiedy DPIA nie jest wymagana.

  • Czym jest DPIA
  • Kiedy DPIA jest obowiązkowa
  • Kiedy DPIA nie jest wymagana
  • 7 obowiązkowych elementów ważnej DPIA
  • Przebieg krok po kroku
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.